NTTコミュニケーションズ(NTT Com)は、「WideAngleマネージドセキュリティサービス」のセキュリティ運用基盤において、ユーザーの機器から収集したログを分析するSIEMエンジンを強化。セキュリティ脅威に対する検知率を大幅に向上させたサービスの提供を、2014年6月より開始する。
WideAngleマネージドセキュリティサービスでは、ファイアウォールやIPS(侵入防御装置)、アンチウイルスソフトウェアなどのセキュリティ機器によって発見されたウイルスや過去にあった攻撃をパターンマッチングして分析。これに加え、これらのセキュリティ機器から生成されるログと、Webサーバー、認証サーバー、プロキシーサーバー、データベースサーバー、ネットワーク機器などのサーバーやセキュリティ機器から生成される膨大なログを相関分析することで、未知の脅威も含めた高精度の検知機能を有している。
WideAngleマネージドセキュリティサービスの概要
今回の機能強化では、セキュリティ脅威の分析を担うSIEMエンジンにおいて、ログ収集対象機器の拡張や、大量のログを相関分析・自動検知するロジックを300種以上に拡充した。
具体的には、多角的な分析ロジックを追加した。標的型攻撃では、サーバーなどの新たな脆弱性を突いて攻撃を開始し、攻撃者が設置したサーバーからマルウェアをダウンロードしてPCやサーバーを感染させ、その後に感染機器を拡大したり、重要データへのアクセスを試みたりする連続的な攻撃行動「キルチェーン」が見られる。今回は、既存のファイアウォールやIPS/IDSなどのセキュリティ機器向けの分析ロジックに加え、こうした攻撃ステップを解析する「キルチェーン検知」のロジックを追加。情報漏えい前に攻撃を遮断することが可能となるという。
また、他サイトから漏洩したIDとパスワードの組み合わせを同一のIPアドレスから大量に試行する「リスト型攻撃」は、既存のセキュリティ機器では検知することが困難だった。これに対して、今回は数時間単位の長い期間での攻撃状況をスコア化し、不審な動作を検知したり、攻撃の段階、被害範囲、感染源となる攻撃者のIPアドレス、感染が確実となったPCやサーバーを即時特定する「ブースト(傾向分析)」などのロジックを追加。その後の攻撃の遮断、早期対応が可能となるという。
さらに機器の通信や動作ログを即時解析する「リアルタイム検知」や過去のログを一定期間経過後に分析する「バッチ処理検知」、攻撃された疑いのあるログをもとに、以後発生する関連ログを継続的に分析する「スライディングウィンドウ処理検知」など、過去・現在・未来の一連の流れに着眼した3種類の時系列解析アプローチにより、分析ロジックを改良。分散させた攻撃箇所からの攻撃や、なりすましによるログインなど時間軸とロケーションなどの複合的な分析による、脅威の早期検知、対応が可能となる。
WideAngleプラットフォームにおいてセキュリティ監視・分析可能な機器ラインナップも8社/66機種に拡大。リスクアナリストの詳細分析をアシストする機能も強化し、検知漏れや誤検知・脅威の見逃しを改善。これにより、標準型攻撃を含む、未知のセキュリティ脅威の検知率を500%向上させたという。
